Certificado digital

Introducción

Los rápidos avances tecnológicos y la dimensión mundial de internet han hecho que, primero las empresas y después los ciudadanos y la administración, estén haciendo cada vez mas uso de las telecomunicaciones y de las nuevas tecnologías. Está siendo verdaderamente espectacular el crecimiento de las transacciones telemáticas que se vienen realizando con contenido económico.

El fuerte desarrollo de la sociedad de la información y de los elementos positivos que de ella se derivan, nos está llevando a una sociedad del conocimiento. Pero, en esta nueva sociedad llena de redes telemáticas abiertas y al alcance de cualquier ciudadano que tenga una conexión a internet, aun existe mucha desconfianza respecto a la seguridad de las comunicaciones y más aun a la certeza jurídica de las transacciones comerciales.

Aquí podríamos preguntarnos ¿es segura la red para realizar transacciones con contenido económico y jurídico? Evidentemente la seguridad total no existe, pero entiendo que no deberíamos preocuparnos por ello, ya que en el comercio ordinario a pié de calle y en las transacciones convencionales tampoco existe seguridad plena.

Lo que sí es una realidad es que la red se inició con sencillas páginas web a un mínimo coste y con escasos niveles de seguridad. Más adelante se fueron introduciendo medios de marketing, sistemas de pago, transacciones aun rudimentarias, pero con poco nivel de seguridad. Pero hoy en día podemos afirmar que existen implantados sistemas capaces de garantizar altos niveles de seguridad en la red, mayores incluso que en el negocio tradicional, ya que además de protección frente a riesgos, cubierta por entidades de seguros, existen mecanismos de seguridad que permiten el acceso a ciertos usuarios, sistemas de control de accesos, defensas contra hakers, etc.

Y, ha sido precisamente la utilización de las nuevas tecnologías en las transacciones comerciales y los inconvenientes que se planteaban desde el punto de vista jurídico, lo que ha llevado a los legisladores a la creación de sistemas seguros que garanticen la autenticidad, la integridad y la confidencialidad de los datos que se transmiten a través de la red.

La evolución tecnológica y la dimensión mundial de la red hicieron necesario un planteamiento abierto a diferentes tecnologías y servicios de autenticación y en esta dirección el gran reto fue encontrar un sistema electrónico alternativo que sirviera para sustituir a la firma manuscrita y que a la vez cumpliera sus mismas funciones, es decir, asegurar la identidad de las partes contratantes, y vincularlas en cuanto a las declaraciones de voluntad que realizaran, o lo que es lo mismo, al contenido del contrato.

La fórmula se ha encontrado en la "firma electrónica" y en los proveedores de "servicios de certificación". Consiste en un instrumento generado por documento electrónico relacionado con la herramienta de firma en poder del usuario, y que es capaz de permitir la comprobación de la procedencia y de la integridad de los mensajes intercambiados y ofreciendo bases para evitar su repudio. Con ello se alcanza el vínculo contractual o la autenticidad de un documento al igual que si se tratara de una firma manuscrita.

Contenido .

Marco histórico. Antecedentes legales

Ley Nº 28403

Dispone la recaudación de un aporte por supervisión y control anual por parte del INDECOPI de las Entidades de Certificación y de Verificación/Registro de Firmas.

Decreto Supremo Nº 052-2008-PCM

Reglamento de la Ley de Firmas y Certificados Digitales.

Decreto Supremo Nº 070-2011-PCM

Decreto Supremo que modifica el Reglamento de la Ley 27269 y establece normas aplicables al Procedimiento Registral en virtud del Decreto Legislativo Nº 681 y ampliatorias.

Decreto Supremo Nº 105-2012-PCM 

Decreto Supremo que establece disposiciones para facilitar la puesta en marcha de la firma digital y modifican el Decreto Supremo Nº 052-2008-PCM. 

LEY DE FIRMAS Y CERTIFICADOS DIGITALES .-Ley 27269

Artículo 6º.-Certificado digital

El certificado digital es el documento electrónico generado y firmado digitalmente por una entidad de certificación, la cual vincula un par de claves con una persona determinada confirmando su identidad.

Artículo 7º.- Contenido del certificado digital

Los certificados digitales emitidos por las entidades de certificación deben contener a l menos:

1. Datos que identifiquen indubitablemente al suscriptor.

2. Datos que identifiquen a la Entidad de Certificación.

3. La clave pública.

4. La metodología para verificar la firma digital del suscriptor impuesta a un mensaje de datos.

5. Número de serie del certificado.

6. Vigencia del certificado.

7. Firma digital de la Entidad de Certificación.

Artículo 8º.- Confidencialidad de la información

La entidad de registro recabará los datos personales del solicitante de la firma digital directamente de éste y para los fines señalados en la presente ley.

Asimismo la información relativa a las claves privadas y datos que no sean materia de certificación se mantiene bajo la reserva correspondiente. Sólo puede ser levantada por orden judicial o pedido expreso del suscriptor de la firma digital.

Artículo 9º.- Cancelación del certificado digital

La cancelación del certificado digital puede darse:

1. A solicitud del titular de la firma digital.

2. Por revocatoria de la entidad certificante.

3. Por expiración del plazo de vigencia.

4. Por cese de operaciones de la Entidad de Certificación.

Artículo 10º.- Revocación del certificado digital

La Entidad de Certificación revocará el certificado digital en los siguientes casos:

1. Se determine que la información contenida en el certificado digital es inexacta o ha sido modificada.

2. Por muerte del titular de la firma digital.

3. Por incumplimiento derivado de la relación contractual con la Entidad de Certificación.

Artículo 11º.- Reconocimiento de certificados emitidos por entidades extranjeras

Los Certificados de Firmas Digitales emitidos por entidades extranjeras tendrán la misma validez y eficacia jurídica reconocida en la presente ley, siempre y cuando tales certificados sean reconocidos por una entidad de certificación nacional que garantice, en la misma forma que lo hace con sus propios certificados, el cumplimiento de los requisitos, del procedimiento, así como la validez y la vigencia del certificado.

DE LAS ENTIDADES DE CERTIFICACIÓN

Y DE REGISTRO

Artículo 12º.- Entidad de Certificación

La Entidad de Certificación cumple con la función de emitir o cancelar certificados digitales, así como brindar otros servicios inherentes al propio certificado o aquellos que brinden seguridad al sistema de certificados en particular o del comercio electrónico en general.

Las Entidades de Certificación podrán igualmente asumir las funciones de Entidades de Registro o Verificación.

Artículo 13º.- Entidad de Registro o Verificación

La Entidad de Registro o Verificación cumple con la función de levantamiento de datos y comprobación de la información de un solicitante de certificado digital; identificación y autenticación del suscriptor de firma digital; aceptación y autorización de solicitudes de emisión de certificados digitales; aceptación y autorización de las solicitudes de cancelación de certificados digitales.

Artículo 14º.- Depósito de los Certificados Digitales

Cada Entidad de Certificación debe contar con un Registro disponible en forma permanente, que servirá para constatar la clave pública de determinado certificado y no podrá ser usado para fines distintos a los estipulados en la presente ley.

El Registro contará con una sección referida a los certificados digitales que hayan sido emitidos y figurarán las circunstancias que afecten la cancelación o vigencia de los mismos, debiendo constar la fecha y hora de inicio y fecha y hora de finalización.

A dicho Registro podrá accederse por medios telemáticos y su contenido estará a disposición de las personas que lo soliciten.

Artículo 15º.- Inscripción de Entidades de Certificación y de Registro o Verificación

El Poder Ejecutivo, por Decreto Supremo, determinará la autoridad administrativa competente y señalará sus funciones y facultades.

La autoridad competente se encargará del Registro de Entidades de Certificación y Entidades de Registro o Verificación, las mismas que deberán cumplir con los estándares técnicos internacionales.

Los datos que contendrá el referido Registro deben cumplir principalmente con la función de identificar a las Entidades de Certificación y Entidades de Registro o Verificación.

Artículo 16º.- Reglamentación

El Poder Ejecutivo reglamentará la presente ley en un plazo de 60 (sesenta) días calendario, contados a partir de la vigencia de la presente ley.

REGLAMENTO DE LA LEY DE FIRMAS Y CERTIFICADOS DIGITALES DEC- SUPR. Nº 052-2008-PCM

DEL CERTIFICADO DIGITAL

Artículo 12º.- De los requisitos

Para la obtención de un certificado digital, el solicitante deberá acreditar lo siguiente:

a) Tratándose de personas naturales, tener plena capacidad de ejercicio de sus derechos civiles.

b) Tratándose de personas jurídicas, acreditar la existencia de la persona jurídica y su vigencia mediante los instrumentos públicos o norma legal respectiva, debiendo contar con un representante debidamente acreditado para

tales efectos.

Artículo 13º.- De las especificaciones adicionales

para ser titular

Para ser titular de un certificado digital adicionalmente se deberá cumplir con entregar la información solicitada por la Entidad de Registro o Verificación, de acuerdo a lo estipulado por la Entidad de Certificación correspondiente, asumiendo el titular la responsabilidad por la veracidad y exactitud de la información proporcionada, sin perjuicio de la respectiva comprobación.

En el caso de personas naturales, la solicitud del certificado digital y el registro o verificación de su identidad son estrictamente personales. La persona natural solicitante se constituirá en titular y suscriptor del certificado digital.

Artículo 14º.- Del procedimiento para ser titular

Las personas naturales deberán presentar una solicitud a la Entidad de Registro o Verificación; dicha solicitud deberá estar acompañada de toda la información requerida por la Declaración de Prácticas de Registro o Verificación, o en los procedimientos declarados. La Entidad de Registro o Verificación deberá comprobar la identidad del solicitante a través de su documento oficial de identidad.

En el caso de personas jurídicas, la solicitud del certificado digital y el registro o verificación de su identidad deberán realizarse a través de un representante debidamente acreditado. La persona jurídica se constituirá en titular del certificado digital. Conjuntamente con la solicitud, debe indicarse la persona natural que será el suscriptor, señalando para tal efecto las atribuciones y los poderes de representación correspondientes. Tratándose de certificados digitales solicitados por personas jurídicas para su utilización a través de agentes automatizados ,las facultades de titular y suscriptor de dicho certificado corresponderán a la persona jurídica, quien asumirá la responsabilidad por el uso de dicho certificado digital.

Artículo 15º.- De las obligaciones del titular

Las obligaciones del titular son:

a) Entregar información veraz durante la solicitud de emisión de certificados y demás procesos de certificación (cancelación, suspensión, re-emisión y modificación).

b) Actualizar la información provista tanto a la Entidad de Certificación como a la Entidad de Registro o Verificación, asumiendo responsabilidad por la veracidad y exactitud de ésta.

c) Solicitar la cancelación de su certificado digital en caso de que la reserva sobre la clave privada se haya visto comprometida, bajo responsabilidad.

d) Cumplir permanentemente las condiciones establecidas por la Entidad de Certificación para la utilización del certificado.

Artículo 16º.- Del contenido y vigencia

Los certificados emitidos dentro de la Infraestructura Oficial de Firma Electrónica deberán contener como mínimo, además de lo establecido en el artículo 7º de la

Ley, lo siguiente:

a) Para personas naturales:

• Nombres completos

• Número de documento oficial de identidad

• Tipo de documento

• Dirección oficial de correo electrónico

b) Para personas jurídicas:

• Razón social

• Número de RUC

• Nombres completos del suscriptor

• Número de documento oficial de identidad del suscriptor

• Tipo de documento del suscriptor

• Facultades del suscriptor

• Correo electrónico del suscriptor

• Dirección oficial de correo electrónico del suscriptor

• Dirección oficial de correo electrónico de la persona jurídica

La Entidad de Certificación podrá incluir, a pedido del solicitante del certificado, información adicional siempre y cuando la Entidad de Registro o Verificación compruebe de manera fehaciente la veracidad de ésta. El período de vigencia de los certificados digitales comienza y finaliza en las fechas indicadas en él, salvo en los supuestos de cancelación conforme a lo establecido en el artículo 17º del presente Reglamento.

Artículo 17º.- De las causales de cancelación

La cancelación del certificado digital puede darse:

a) A solicitud del titular del certificado digital o del suscriptor sin previa justificación, siendo necesario para tal efecto la aceptación y autorización de la Entidad de Certificación o la Entidad de Registro o Verificación, según sea el caso, dentro del plazo establecido por la Autoridad Administrativa Competente. Si una solicitud de cancelación es aprobada por la Entidad de Registro o Verificación, y luego tal entidad supere el plazo máximo en el cual debe comunicar dicha aprobación a la Entidad de Certificación correspondiente, dicha Entidad de Registro o Verificación será responsable por los daños ocasionados debido a la demora. De otro modo, habiendo sido notificada dentro del plazo establecido, la Entidad de Certificación será responsable de los daños que pueda ocasionar la demora en dicha cancelación. Del mismo modo ocurrirá en el caso que un suscriptor o titular solicite directamente a la Entidad de Certificación la cancelación de su certificado. Compete a la Autoridad Administrativa Competente establecer las sanciones respectivas.

b) Por decisión de la Entidad de Certificación (por revocación, según los supuestos contenidos en el artículo10º de la Ley), con expresión de causa.

c) Por expiración del plazo de vigencia.

d) Por cese de operaciones de la Entidad de Certificación que emitió el certificado.

e) Por resolución administrativa o judicial que ordene la cancelación del certificado.

f) Por interdicción civil judicialmente declarada o declaración de ausencia o de muerte presunta, del titular del certificado.

g) Por extinción de la personería jurídica o declaración judicial de quiebra.

h) Por muerte, o por inhabilitación o incapacidad declarada judicialmente de la persona natural suscriptor del certificado.

i) Por solicitud de un tercero que informe y pruebe de manera fehaciente alguno de los supuestos de revocación, contenidos en los incisos 1) y 2) del artículo 10º de la Ley.

j) Otras causales que establezca la Autoridad Administrativa Competente.

Las condiciones bajo las cuales un certificado digital pueda ser cancelado deben ser estipuladas en los contratos de los suscriptores y titulares.

El uso de certificados digitales con posterioridad a su cancelación conlleva la inaplicabilidad de los artículos 3º,4º y 8º del presente Reglamento.

En todos los casos la Entidad de Certificación debe indicar el momento desde el cual se aplica la cancelación, precisando la fecha, hora, minuto y segundo en la que se efectúa. La cancelación no puede ser aplicada retroactivamente y debe ser notificada al titular del certificado digital cuando corresponda. La Entidad de Certificación debe incluir el certificado digital cancelado en la siguiente publicación de la Lista de Certificados Digitales Cancelados.

Artículo 18º.- De la cancelación del certificado a solicitud de su titular, suscriptor o representante.

La solicitud de cancelación de un certificado digital puede ser realizada por su titular, suscriptor o a través de un representante debidamente acreditado; tal solicitud podrá realizarse mediante documento electrónico firmado digitalmente, de acuerdo con los procedimientos definidos en cada caso por las Entidades de Certificación o las Entidades de Registro o Verificación. El titular y el suscriptor del certificado están obligados ,bajo responsabilidad, a solicitar la cancelación del certificado al tomar conocimiento de la ocurrencia de alguna de las siguientes circunstancias:

a) Exposición, puesta en peligro o uso indebido de la clave privada.

b) Deterioro, alteración o cualquier otro hecho u acto que afecte la clave privada.

c) Revocación de las facultades de representación y/o poderes de sus representantes legales o apoderados.

d) Cuando la información contenida en el certificado ya no resulte correcta.

e) Cuando el suscriptor deja de ser miembro de la comunidad de interés o se sustrae de aquellos intereses relativos a la Entidad de Certificación.

Artículo 19º.- De la cancelación por revocación

La revocación supone la cancelación de oficio de los certificados por parte de la Entidad de Certificación, quien debe contar, para tal efecto, con procedimientos detallados en su Declaración de Prácticas de Certificación.

Marco teórico

CONCEPTO CERTIFICADO DIGITAL .- Un certificado digital o certificado electrónico es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad.

Es un documento que permite al firmante identificarse en Internet. Es necesario para realizar trámites, tanto con las administraciones públicas como con numerosas entidades privadas.

El Certificado Digital es el único medio que permite garantizar técnica y legalmente la identidad de una persona en Internet. Se trata de un requisito indispensable para que las instituciones puedan ofrecer servicios seguros a través de Internet. Además:

El certificado digital permite la firma electrónica de documentos .El receptor de un documento firmado puede tener la seguridad de que éste es el original y no ha sido manipulado y el autor de la firma electrónica no podrá negar la autoría de esta firma.

El certificado digital permite cifrar las comunicaciones. Solamente el destinatario de la información podrá acceder al contenido de la misma.

En definitiva, la principal ventaja es que disponer de un certificado le ahorrará tiempo y dinero al realizar trámites administrativos en Internet, a cualquier hora y desde cualquier lugar.

CLAVES DEL CERTIFICADO DIGITAL .-Un Certificado Digital consta de una pareja de claves criptográficas, una pública y una privada, creadas con un algoritmo matemático, de forma que aquello que se cifra con una de las claves sólo se puede descifrar con su clave pareja.El titular del certificado debe mantener bajo su poder la clave privada, ya que si ésta es sustraída, el sustractor podría suplantar la identidad del titular en la red. En este caso el titular debe revocar el certificado lo antes posible, igual que se anula una tarjeta de crédito sustraída.

La clave pública forma parte de lo que se denomina Certificado Digital en sí, que es un documento digital que contiene la clave pública junto con los datos del titular, todo ello firmado electrónicamente por una Autoridad de Certificación, que es una tercera entidad de confianza que asegura que la clave pública se corresponde con los datos del titular.

La Firma Electrónica sólo puede realizarse con la clave privada

Según la Sede Electrónica del Instituto Nacional de Estadística, un certificado electrónico sirve para:

*Autentificar la identidad del usuario, de forma electrónica, ante terceros.

• Firmar electrónicamente de forma que se garantice la integridad de los datos trasmitidos y su procedencia. Un documento firmado no puede ser manipulado, ya que la firma está asociada matemáticamente tanto al documento como al firmante

• Cifrar datos para que sólo el destinatario del documento pueda acceder a su contenido.

Derecho comparado. España

España

En España, actualmente los certificados electrónicos emitidos por entidades públicas son el DNI o DNI electrónico y el de la Fábrica Nacional de Moneda y Timbre (FNMT).

El DNI español al ser de uso obligado dispone de más de 32 millones de usuarios. Por otro lado, aun no se ha puesto en marcha el NIE-electrónico, que facilitaría su uso más amplio y la reducción de costes burocráticos para las Administraciones Públicas y usuarios.

Para el certificado digital de la FNMT es necesario contar con DNI o NIE.

Certificación de la FNMT-RCM.-

El certificado se descarga en el navegador del equipo donde lo han solicitado. No es necesario que se guarde en el disco duro, pudiendo exportarse directamente a un dispositivo extraible (como una memoria USB).

1. Para tramitarlo el usuario ha de dirigirse a la página de la FNMT e instalar el CONFIGURADOR FNMT-RCM, tras lo cual se han de seguir las instrucciones del asistente y después reiniciar el equipo.

2. Una vez reiniciado, se ha de acceder a este enlace. Se introduce el DNI/NIE del solicitante, se selecciona la longitud de clave-contraseña (pestaña debajo del campo para el DNI/NIE). Importante si seleccionamos grado Alto, debemos crear una contraseña personal que estará asociada al certificado-no ha de olvidarse esa contraseña, en caso que selecciona grado Medio no creara ninguna contraseña ( esta opción sólo aparece con Internet Explorer). Se ha de enviar petición y el sistema nos creara un código de 9 dígitos que debemos apuntar o, preferentemente, imprimir.

3. Acreditación de la identidad: con el código de solicitud del paso anterior, deberá personarse en un Oficina de Registro (Agencia Tributaria o Seguridad Social) aportando el código y su DNI/NIE

4. Descarga del Certificado de la FNMT: después de haber acreditado la identidad en una Oficina de Registro y haciendo uso del código obtenido en paso 2, se puede descargar el certificado aquí.

Importante- No se ha de formatear el ordenador. Se debe realizar todo el proceso desde el mismo equipo, con el mismo usuario y el mismo navegador.

Certificados Digitales de Uso Personal Información sobre Certificados Digitales ¿Qué es una Firma Electrónica?  …

La Firma Digital es un método criptográfico que asocia la identidad de una persona o de un equipo informático al mensaje o documento. En función del tipo de firma, puede, además, asegurar la integridad del documento o mensaje.

 La Firma Electrónica es un concepto más amplio que el de Firma Digital.

Mientras que el segundo hace referencia a una serie de métodos criptográficos, el concepto de "Firma Electrónica" es de naturaleza fundamentalmente legal, ya que confiere a la firma un marco normativo que le otorga  validez jurídica. 

La Firma Electrónica, puede vincularse a un documento para identificar al autor, para señalar conformidad (o disconformidad) con el contenido, para indicar que se ha leído o, según el tipo de firma, garantizar que no se pueda modificar su contenido.

  La firma digital de un documento es el resultado de aplicar cierto algoritmo matemático, denominado función hash, a su contenido y, seguidamente, aplicar el algoritmo de firma (en el que se emplea una clave privada) al resultado de la operación anterior, generando la firma electrónica o digital. El software de firma digital debe además efectuar varias validaciones, entre las cuales se pueden mencionar:

 Vigencia del certificado digital del firmante,

Revocación del certificado digital del firmante (puede ser por OCSP o CRL),

 Inclusión de sello de tiempo.

 La función hash es un algoritmo matemático que permite calcular un valor resumen de los datos a ser firmados digitalmente. Funciona en una sola dirección, es decir, no es posible, a partir del valor resumen, calcular los datos originales. Cuando la entrada es un documento, el resultado de la función es un número que identifica inequívocamente al texto. Si se adjunta este número al texto, el destinatario puede aplicar de nuevo la función y comprobar su resultado con el que ha recibido. Ello no obstante, este tipo de operaciones no están pensadas para que las lleve a cabo el usuario, sino que se utiliza software que automatiza tanto la función de calcular el valor hash como su verificación posterior.

¿Qué es el DNI electrónico?

Certificados Digitales de Uso Personal Información sobre Certificados Digitales El DNI Digital ¿Qué es el DNI electrónico?  …

Para responder a las nuevas necesidades de la Sociedad de la Información, y la generalización del uso de Internet, nace el Documento Nacional de Identidad electrónico (DNIe), similar al tradicional y cuya principal novedad es que incorpora un pequeño circuito integrado (chip), capaz de guardar información de forma segura y de procesarla internamente.

El Documento Nacional de Identidad, el DNI electrónico, permitirá.

• Acreditar electrónicamente y de forma indudable la identidad de la persona. 

• Firmar digitalmente documentos electrónicos, otorgándoles una validez jurídica equivalente a la que les proporciona la firma manuscrita.

Procedimiento de instalación

Certificados Digitales de Uso Personal Información sobre Certificados Digitales Procedimiento de instalación

Para poder utilizar los certificados digitales hay que seguir una serie de pasos, de manera ordenada.

• En primer lugar hay que instalar un lector de tarjetas. Estos lectores se adquieren integrados en algunos teclados, pueden venir en soporte PCMCIA o ser simplemente un lector USB interno o externo. En la mayoría de los casos la instalación es semi-automática. Una vez que el ordenador detecta el nuevo hardware busca el controlador a través de Windows Update y lo instala en el PC permitiendo su uso.

• En segundo lugar, para poder utilizar los certificados de la Dirección General de la Policía (DNI electrónico), o de la Autoritat de Certificació de la Comunitat Valenciana (ACCV) (carné UPV) en los navegadores (Internet Explorer, Mozilla Suite, Mozilla Thunderbird o Mozilla Firefox) hay que indicarle al equipo que esa entidad certificadora es válida y que confiamos en ella. Para ello debemos acceder a la página del DNI electrónico o la ACCV (http://www.accv.es) y descargar los certificados en los navegadores que vayamos a utilizar

• Por último, si queremos utilizar los certificados para firmar correos electrónicos debemos seleccionarlos en los programas de correo que utilicemos (Outlook Express, Microsoft Outlook, Mozilla, Thunderbird, etc..). Hay que tener en cuenta que el destinatario de nuestros mensajes debe tambien hacer uso de los certificados y debe confiar en la GVA como entidad válida, ya que en caso de no confiar en ella puede ser que no pudiera leer nuestros mensajes firmados. Información sobre cada uno de estos pasos la puede encontrar en los siguientes puntos de esta página

En España se está utilizando está tecnología desde 2006, y ya hay unos 30 Millones entregados de dnis electrónicos.

Desarrollo en el Perú del certificado digital

A través de legislaciones que han ido desarrollando su actuación progresivamente;

Ley Nº 28403

Dispone la recaudación de un aporte por supervisión y control anual por parte del INDECOPI de las Entidades de Certificación y de Verificación/Registro de Firmas.

Decreto Supremo Nº 052-2008-PCM

Reglamento de la Ley de Firmas y Certificados Digitales.

Decreto Supremo Nº 070-2011-PCM

Decreto Supremo que modifica el Reglamento de la Ley 27269 y establece normas aplicables al Procedimiento Registral en virtud del Decreto Legislativo Nº 681 y ampliatorias.

Decreto Supremo Nº 105-2012-PCM 

Decreto Supremo que establece disposiciones para facilitar la puesta en marcha de la firma digital y modifican el Decreto Supremo Nº 052-2008-PCM. 

Los cuestionamientos que surgen en torno al Certificado Digital, son los que hemos tratado a través de la investigación responder en esta síntesis:

¿Qué es el certificado digital?

Es un documento digital emitido por una entidad autorizada o Entidad de Certificación (EC). El certificado digital vincula un par de claves (una pública y otra privada) con una persona y asegura su identidad digital. Con esta identidad digital la persona podrá ejecutar acciones de comercio y gobierno electrónico con seguridad, confianza y pleno valor legal.

¿Qué nos permite hacer el certificado digital?

Dependiendo del tipo de certificado, éste nos permitirá: autenticarnos, firmar digitalmente o cifrar datos o información.

¿Qué es un certificado digital raíz?

Se trata de un certificado digital que da origen a otros certificados digitales. En el caso de la IOFE del Estado Peruano se refiere a aquél primer certificado digital que emite la ECERNEP (es decir el RENIEC) a las demás Entidades de Certificación (ECEP's) permitiéndoles así que sean parte de las entidades de confianza y puedan emitir certificados digitales para usuarios finales.

¿Qué es la lista de certificados revocados?

La lista de certificados revocados (CRL) es una lista donde se encuentran los certificados vencidos o que fueron cancelados (o revocados) por algún motivo. Esta lista se actualiza automáticamente cada 24 horas y puede ser consultada por Internet a través del software de firma digital.

¿Existe alguna ley en nuestro país que regula la utilización de los certificados digitales?

Sí, se trata de la Ley N° 27269, Ley de Firmas y Certificados Digitales, publicada el 28 de mayo de 2000, modificada mediante Ley N° 27310 del 17 de julio de 2000, y su Reglamento, Decreto Supremo N° 052-2008-PCM, publicado el 19 de julio de 2008, modificado por el Decreto Supremo N° 070-2011-PCM, publicado el 27 de julio de 2011.

¿Cuál es el marco legal de la firma y certificado digital?

Ley No.27269, Ley de Firmas y Certificados Digitales), publicada del 28 de mayo de 2000, modificada mediante Ley No.27310 del 17 de julio de 2000, y su Reglamento, Decreto Supremo No.052-2008-PCM, publicado el 19 de julio de 2008, modificado por el Decreto Supremo No.070-2011-PCM, publicado el 27 de julio de 2011.

¿Dónde se adquiere un certificado digital emitido por el RENIEC?

En las agencias que pertenezcan a las Entidades de Registro Digital del Estado Peruano (EREP) del RENIEC.

¿Cómo recibo/almaceno el certificado digital?

Usted puede recibir su certificado digital de 3 maneras diferentes: a. Descargarlo e instalarlo directamente en la computadora donde lo va a utilizar, siempre y cuando ésta cuente con las características técnicas y de seguridad necesarias para hacerlo. b. Descargarlo e instalarlo en un token criptográfico. c. Descargarlo e instalarlo en una tarjeta inteligente.

¿Cuál es la diferencia entre el titular y el suscriptor del certificado digital?

a. Persona Natural: No hay diferencia entre el titular y el suscriptor.b. Persona Jurídica: El titular es el representante legal y es quien autoriza la emisión de certificados digitales para los diferentes trabajadores que se convierten en suscriptores, para sus actividades dentro de la empresa.

¿Qué niveles de seguridad existen en los certificados digitales?

Existen 3 niveles de seguridad en los certificados digitales: a. Nivel de seguridad medio b. Nivel de seguridad medio-alto c. Nivel de seguridad alto (este nivel de seguridad está reservado para aplicaciones militares)

¿De qué manera puedo proteger mi certificado digital?

Para proteger su certificado digital debe proteger el lugar donde está almacenado (computadora personal, token criptográfico o tarjeta inteligente) y el PIN de acceso a éste.

¿Puedo cambiar el PIN?

Usted puede cambiar el PIN siempre y cuando recuerde el PIN actual. Sin embargo, si usted olvida su PIN no podrá cambiarlo ni recuperarlo. Deberá formatear el token, lo que implica que todos los certificados almacenados se pierdan y deberá revocar los certificados que borró y solicitar unos nuevos.

¿Cuántos PINs voy a tener si tengo varios certificados digitales?

Si los certificados digitales están siendo almacenados en el computador personal, se tendrán un número de PIN's igual al número de certificados que se tiene. Si los certificados digitales están siendo almacenados en dispositivos de almacenamiento criptográfico (tokens o tarjetas inteligentes) con un mismo PIN se podrá acceder al o los certificados que se encuentren ahí almacenados. Esta opción depende de que la marca o modelo del dispositivo de almacenamiento lo permita. Caso contrario también se tendría el mismo número de PIN's que número de certificados digitales almacenados.

¿Cuál es la diferencia entre DNI electrónico (DNIe) y certificado digital?

El DNIe nos brinda la identidad, tanto presencial como digital. Cuenta con un certificado digital de persona natural emitido a nombre del titular del documento. Por su parte, el certificado digital solo tiene funciones para medios electrónicos y permite realizar las transacciones según su tipo: firma digital, autenticación o cifrado de datos.

¿Qué es el ciclo de vida del certificado digital?

Es el proceso por el que pasa el certificado digital desde la emisión hasta la cancelación. Su certificado digital puede pasar por los siguientes estados: a. Emisión: cuando se solicita por primera vez o debido a que el anterior está cancelado. b. Cancelación: cuando ya no desea que su certificado digital siga vigente o cuando vence el periodo de vigencia.

El papel de INDECOPI

El Reglamento de Firmas y Certificados Digitales, aprobado por el Decreto Supremo Nº 019-2002-JUS, designó al INDECOPI como la Autoridad Administrativa Competente de la Infraestructura Oficial de Firma Digital. Esta condición fue ratificada por el Reglamento que reemplazó a aquel, aprobado por el Decreto Supremo Nº 004-2007-PCM publicado el 14 de enero de 2007 en el diario oficial El Peruano, así como por el Reglamento vigente, sancionado por el Decreto Supremo Nº 052-2008-PCM, publicado el 19 de julio de 2008. En tal condición, el INDECOPI –a través de la Comisión de Reglamentos Técnicos y Comerciales– ha aprobado: 1) la Guía de Acreditación para Entidades de Certificación Digital; 2) la Guía de Acreditación para Entidades de Verificación/ Registro de Datos; 3) la Guía de Acreditación para Prestadoras de Servicios de Valor Añadido. Cada guía contiene el conjunto sistematizado de requisitos a ser cumplidos por la empresa u organismo que desee obtener, de la Comisión de Normalización de Fiscalización de Barreras Comerciales No Arancelarias de INDECOPI, su acreditación como Entidad de Certificación Digital, como Entidad de Registro/Verificación de Datos o como Prestadora de Servicios de Valor Añadido. Las guías fueron elaboradas por un equipo de consultores que fue contratado gracias al financiamiento del Programa de Modernización y Descentralización del Estado de la Presidencia del Consejo de Ministros. Entre sus principales características destacan: Se encuentran ajustadas a la Ley de Firmas y Certificados Digitales (Nº 27269), al Reglamento de la misma y a las normas técnicas internacionales sobre la materia. Cada uno de los requisitos de acreditación señalados en las guías contiene la referencia correspondiente a la ley, al reglamento y las normas técnicas internacionales pertinentes; Recogen las principales observaciones formuladas por el Registro Nacional de Identificación y Estado Civil (RENIEC), que fue la única institución que presentó observaciones durante el período de discusión pública de los proyectos; El documento principal –el proyecto de Guía de Acreditación de Entidades de Certificación Digital– fue revisado por la consultora canadiense ENTRUST, que tuvo participación en el diseño de la Infraestructura de Firma Digital de la administración del Estado del Canadá. Se debe indicar que las sugerencias de ENTRUST compatibles con la normativa peruana sobre la materia fueron incorporadas al proyecto. Finalmente, es pertinente recordar que, según la Ley y el Reglamento de Firmas y Certificados Digitales, los documentos electrónicos (contratos, ofertas, oficios, cartas, etcétera) que lleven firma digital basada en un certificado digital emitido por una entidad acreditada ante el INDECOPI, tendrán el mismo efecto jurídico que un documento manuscrito. 

La PKI y sus implicancias en el certificado digital en el Perú

Una Infraestructura de Clave Pública (en inglés Public Key Infrastructure o PKI) es una combinación de hardware, software, políticas y procedimientos de seguridad que permiten la ejecución con garantías de operaciones criptográficas o de cifrado como la identificación digital del interlocutor o la firma digital de archivos electrónicos, esto inclusive remotamente a través de redes como Internet.

Para poder confiar en algo, es indispensable conocerlo. El fundamento tecnológico del esquema descansa sobre los conceptos de "par de claves" y "certificado digital". Poniendo como ejemplo la realización de la firma digital, puede referirse que se hace necesario en principio disponer de un par de claves relacionadas, una privada y una pública.